Facebook bude platit za objevy bezpečnostních zranitelností

Má firma platit těm, kdo najdou bezpečnostní chyby v v jejím softwaru?
Přístupy jsou různé, Google a Mozilla platí, Oracle a Microsoft ne.
Kromě toho existují i programy jako ZDI (zero day initiative) od
Tipping Point/3Com/HP, kde se platí za objevy chyb nezávisle na
konkrétním dodavateli aplikace.

Novinkou každopádně je, jak se k celé záležitosti postavil Facebook: chce odměňovat ty, kdo budou reportovat bezpečnostní problémy.
Minimální vyplácená částka má mít přitom hodnotu 500 dolarů, což
zhruba odpovídá odměnám, které nabízí Google. Dosavadní zkušenost s
chybami Facebooku nasvědčuje, že většinou půjde o problémy typu
cross-site scripting (XSS).

Měl by se Microsoft poučit a přejít na podobný obchodní model? Z druhé
strany je zajímavé, že Microsoft ale naopak vyhlašuje odměny vztažené
k dopadením tvůrců malwaru. Např. za informace, které povedou k
dopadení provozovatelů botnetu Rustock, nabízí firma až 250 000
dolarů. Pro srovnání, Google zaplatil letos asi 300 000 dolarů
„standardně“, pouze za chyby objevené v prohlížeči Chrome.
Facebook přirozeně vyžaduje, aby bezpečnostní zranitelnost byla
nahlášena firmě, nikoliv zveřejněna. Odměny se nevztahují k útokům
DDoS, spamu, sociálnímu inženýrství nebo k chybám v aplikacích třetích
stran.

Do programu pro ohlašování zranitelností Facebooku se lze přihlásit na
webu www.facebook.com/whitehat/.